ここは知っておくべき!Windows Server 2008技術TIPS

第4回NAP─ネットワークアクセス保護

皆さんの中には社内のセキュリティ管理に頭を悩ませている方も多いかとは思います。特に最近ではモバイルユーザが増え、ノートPCを持ち歩き自宅などでも使用するユーザも多く、また従業員以外のユーザがパソコンを持ち込んで社内で作業をするといったこともあるかと思います。つまりウィルスやワームに感染している可能性があるデバイスが簡単に社内ネットワークに接続できる状況にあるといえます。

もちろん、ウィルス対策ソフトやセキュリティパッチといった対策をとっているかとは思いますが、ユーザ任せの対策であれば必ず最新のセキュアな状態で社内ネットワークに接続しているとは言い切れないはずです。そこで、2008からの新機能であるNAP(Network Access Protection)では社内ネットワークに接続するクライアントコンピュータを検疫し、ポリシーに基づいて社内サーバへ接続させるかどうかを判断します。

ポリシーに違反している場合には、ネットワークからの隔離や、ポリシーに準拠する設定にアップデートする環境を提供することも可能です。つまり、今までのOSは外部の攻撃から守る手段が提供されていましたが、このNAPでは社内ネットワークのコンピュータをチェックし、より安全な環境を提供することが可能となっています。

NAPの機能

まずは、NAPの主要な機能からご紹介しましょう。

ポリシー検証

社内ネットワークに接続したいコンピュータがポリシー要件(例:ウィルス対策ソフトを有効にしている、Windowsファイアウォールが有効であるなど)に準拠しているかどうかが判断されます。

ネットワークアクセス制限

ポリシーに準拠しない(満たしていない)コンピュータが社内ネットワークに接続できないように制限します。

自動修復

ポリシーに準拠しないコンピュータを準拠状態にするために必要なコンポーネントを提供する「修復サーバー」へのアクセスを提供します。また場合によっては、ポリシー非準拠のためアクセス不可であることを伝えるWebページだけを提供して完全に社内ネットワークから遮断させることも可能です。

継続的な準拠

検疫後もコンピュータは継続的にポリシーに準拠しているかどうかを検証され続けます。ユーザによる操作でポリシー要件に満たない状態にコンピュータが変更された場合(ウィルス対策ソフトを無効にするなど)には、直ちに準拠状態になるように動的にコンピュータの状態が更新されます。

動作の流れ

次に具体的な流れを見ていきましょう。

図1 NAP動作イメージ
図1 NAP動作イメージ

NAPが機能しているネットワークに接続してきたクライアントコンピュータはまず、⁠制限ゾーン」と呼ばれる制限されたネットワークに所属することになります。そこで、ウィルス対策ソフトやWindowsファイアウォールの状態などを検証され、その結果を「SoH:状態ステートメント(Statement of Health⁠⁠」として、2008が稼動している「ネットワークポリシーサーバー(NPS⁠⁠」へ送信されます(図1の①⁠⁠。

NPSでは、設定しているポリシーとクライアントコンピュータの状態が比較され、ポリシー準拠か非準拠の判断が下されます(図1の②③④⁠⁠。

ポリシーに準拠している場合にはクライアントコンピュータはセキュアゾーンへ移動し、社内リソースへアクセスすることが許可されます(図1の⑤⁠⁠。

ポリシー要件を満たしていない非準拠の場合には、ポリシーに準拠するようにコンピュータを修復する手段を提供できます(図1の⑤'⁠⁠。修復のための説明を表示する社内Webサイトへ誘導や、WSUS環境があればソフトウェアの更新も可能となります。

より厳しい設定の場合には、非準拠のクライアントコンピュータは、制限ゾーンに残されたままの設定や、アクセスを拒否することも可能です。

NAPの構成

次に、内部のコンポーネントについてご紹介します。

図2  NAPのコンポーネント
図2 NAPのコンポーネント

ネットワークポリシーサーバー(NPS)

2008に「役割」としてインストールすることで実現できます。2003でのIAS(インターネット認証サービス)の後継となりRADIUSサーバーまたはプロキシとして機能します。

図3 ネットワークポリシーサーバー
図3 ネットワークポリシーサーバー

システム正常性検証ツール(SHV:System Health Validator)

NPSのコンポーネントの1つ。2008には標準でマイクロソフトのSHVが1つ準備されており、⁠セキュリティセンター」と連動しファイアウォールや自動更新の有効/無効、ウィルス対策ソフトのインストール状態、パターンファイルの状態をチェックすることが可能となっています。

すでにSCCM2007(System Center Configuration Manager)でパッチ管理をするためのSHVも提供されていますが、今後もマイクロソフトや他社から、追加のSHVが提供される予定です。

表1 設定できる項目
ウイルス対策ソフト
  • 有効/無効
  • 最新のパターンファイルであるか
スパイウェア対策ソフト
  • 有効/無効
  • 最新のパターンファイルであるか
自動更新
  • 有効/無効
セキュリティ更新プログラム
  • 設定した重要度以上のパッチが適用されているか
  • 最近のアップデートからの許容経過時間
図4 システム正常性検証ツール①
図4 システム正常性検証ツール①
図5 システム正常性検証ツール②
図5 システム正常性検証ツール②

クライアント:システム正常性エージェント(SHA:System Health Agent)

Vista以降に標準搭載されているエージェントで、サーバー上のSHVと対で構成されます。SHVと同じく「セキュリティセンター」と連動して、コンピュータの状態をチェックします。XPでは2008年5月に提供されたSP3でも対応可能となっています。チェックされた結果は前述のSoH(状態ステートメント)としてNPSに送信されます。

クライアント:NAPクライアントエージェント

NAPを実施するにはサーバー側だけではなく、クライアント側の設定も必要になります。既定では無効になっているため、開始する必要があります(後述⁠⁠。

アクセスデバイス

クライアントコンピュータがNAP実施の環境へアクセスするためのオプションは5つあります。各オプションにあわせたアクセスデバイスが必要となります。以下、組み合わせも可能です。

図6 アクセスのオプション
図6 アクセスのオプション
DHCPによる実施
2008でのDHCPサーバーが必要。比較的簡易に構築が可能。NPSによる検疫に合格しポリシー準拠の状態になることで適切なIPアドレスが割り当てられます。非準拠の場合には、特殊なサブネットマスク(255.255.255.255)とDGWのないアドレスが割り当てられ、社内ネットワークへのアクセスが制限されます。
IPSecによる実施
2008での「Active Directory証明書サービス」「エンタープライズルートCA(認証機関⁠⁠」と、⁠正常性登録機関」が必要。ポリシー準拠の場合には、正常性証明書がクライアントに発行されます。もちろん、セキュアゾーン内の各サーバーにはあらかじめ証明書を配布しておく必要もあります。
IEEE802.1xによる実施
IEEE 802.1xに対応したL2スイッチやスイッチングHUBが必要。VLANを利用して、ポリシー準拠の場合と非準拠の場合で所属先を割振ることが可能です。
VPNによる実施
2008によるVPN環境が必要(現時点⁠⁠。インターネットからVPN接続する時にコンピュータがチェックされます。ポリシー準拠の場合には社内へのアクセスが可能となり、非準拠の場合にはパケットフィルタリングにより修復サーバーへアクセスするように設定可能。
TSゲートウェイによる実施
2008によるターミナルサービスゲートウェイサーバが必要。ポリシー準拠の場合にはターミナルサーバーに中継されます。自動修復機能には対応していません。

クライアント設定

次にクライアント(Vista以降)側で必要な設定もご紹介しておきます。必要なのは以下3つの構成です。いずれもグループポリシーによる一括設定が可能です。

  • NAPエージェントの開始
    ⁠サービス」から「Network Access Protection Agent」を開始、または自動スタートアップに設定
  • 実施クライアントの有効化
    ⁠NAPCLCFG.MSC」を実行し、⁠NAPクライアントの構成」スナップインを起動
  • サーバー側で設定している実施オプションに対応した実施クライアントを有効にする
  • セキュリティセンターの有効化 ⁠ドメイン参加のコンピュータは既定では無効となっているため)
    ⁠GPEDIT.MSC」を実行し、⁠グループポリシーオブジェクトエディタ」を起動
  • 以下のポリシーを有効にする
    コンピュータの構成→管理テンプレート→Windowsコンポーネント→セキュリティセンター→セキュリティセンターをオンにする

R2での新機能

次にR2での新機能をご紹介します。

R2ではSHV(システム正常性検証ツール)を複数構成できるようになりました。これによって正常性ポリシーを作成する際にいずれかを選択することができるようになります。複数のSHVを作成するには、⁠Windowsセキュリティ正常性検証ツール」「設定」を右クリックし、⁠新規」を選択します。

図7 SHVの新規作成
図7 SHVの新規作成

ポリシー側からSHVを選択するには、各正常性ポリシーのプロパティから「この正常性ポリシーで使用されているSHV」から指定することが可能です。

図8 正常性ポリシーのプロパティ
図8 正常性ポリシーのプロパティ
図9 正常性ポリシーの追加
図9 正常性ポリシーの追加

クライアント側でも変化があり、Windows7の場合にはアクションセンターという新機能を通じて検疫状態のメッセージが出されるようになりました。

Vistaの場合にはNAPのメッセージとセキュリティセンターが別々に動いていましたが、セキュリティセンターの後継であるアクションセンターとNAPが連携して動き、準拠状態になるための解決策を表示させることができます。

図10 アクションセンターのアラート
図10 アクションセンターのアラート
図11 アラートを開いたところ
図11 アラートを開いたところ

おすすめ記事

記事・ニュース一覧